今回の解説ニュース

脆弱性概要

今回の脆弱性は、オープンソースのキャッシュDNSサーバであるUnboundにDoS攻撃が可能になる脆弱性が存在するというものです。

影響を受けるシステム

影響を受けるシステムは、Unbound 1.21.0以前のバージョンです。影響として、攻撃者によってパフォーマンスを低下させて、サービス不能な状態を発生させられる可能性があるということです。

深刻度

深刻度を表すCVSSv3の基本値は5.3で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-8508」で検索してみてください。

発見された脆弱性の内容

DoS攻撃とは

DoS攻撃とは、Denial of Serviceの略で、サービス拒否攻撃と訳されます。サービスを提供しているシステムに対して、大量のアクセスやデータを送信したり、脆弱性を悪用したりして、システムを過負荷状態にし、正常に動作できなくするサイバー攻撃です。イメージとしては、レストランに大量の人が一度に押し寄せ、店員が対応しきれなくなり、他の客が注文できなくなってしまうような状態です。

DoS攻撃の目的

DoS攻撃の目的は、特定のサービスへのアクセスを妨げ、利用者を困らせたり、対象のシステムを停止させたりして、ビジネスに損害を与えることが挙げられます。また、DoS攻撃を被害者に迫ることで金銭を要求したり、より大きなサイバー攻撃を仕掛けるためのカモフラージュにしたりすることもあります。

今回の攻撃方法

今回の脆弱性では、攻撃方法として、特定の形式のDNSリクエストを送信することで、UnboundがインストールされたキャッシュDNSサーバーのリソースを大量に消費させ、正常なサービス提供を妨害するというものです。攻撃が成立する条件としては、非常に大きなリソースレコードセットを持つ悪意のあるゾーンに対して、特別に細工されたクエリを実行する必要があります。

DoS攻撃には大きく分けて、単一のコンピュータから攻撃を仕掛けるDoS攻撃と、複数のコンピュータを不正に利用して、分散して攻撃を仕掛けるDDoS攻撃があります。 DDoS攻撃の方が、より大規模な攻撃が可能で、被害も大きくなる傾向があります。

DoS攻撃への対策

DoS攻撃の対策として、脆弱性の修正と負荷分散が挙げられます。

脆弱性の修正

まず、DoS攻撃のきっかけが脆弱性であった場合、アップデートを行うことが対策の基本となります。OSやアプリケーションに脆弱性がある場合は、脆弱性が修正されたバージョンを使用することで、脆弱性を突いたDoS攻撃を受けても、サービス不能な状態には陥らないことになります。

負荷分散

また、DoS攻撃で脆弱性をつくこと以外にも、サービスやシステムに大量のアクセスを発生させるなどして負荷をかけることで、サービス不能な状態に陥る可能性があります。ネットワークでの対策としては、特定のIPアドレスからのリクエスト数を制限することや、信頼できるIPアドレスからのみアクセスを許可することで、過負荷な状態になることを回避することができます。サーバでの対策としては、複数のサーバに負荷を分散させたり、静的なコンテンツをキャッシュすることで、単一のサーバが過負荷になるのを防ぐことができます。

ただし、これらはあくまでも負荷分散による対策となりますので、より大きな負荷や、DDoS攻撃のような分散化されたサイバー攻撃に対しては、効果が限定的になることに注意することが必要です。